Activer les options de fonctionnalités - AWS Control Tower
AWS CloudTrail événements liés aux donnéesAWS Plan de support aux entreprises Supprimer le AWS VPC par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer les options de fonctionnalités

AFT propose des options de fonctionnalités basées sur les meilleures pratiques. Vous pouvez opter pour ces fonctionnalités, au moyen d'indicateurs de fonctionnalités, lors du déploiement de l'AFT. Création d'un nouveau compte auprès de l'AFTPour plus d'informations sur les paramètres de configuration d'entrée AFT, reportez-vous à.

Ces fonctionnalités ne sont pas activées par défaut. Vous devez activer chacune d'entre elles de manière explicite dans votre environnement.

AWS CloudTrail événements liés aux données

Lorsqu'elle est activée, l'option AWS CloudTrail Data Events configure ces fonctionnalités.

  • Crée un historique d'organisation dans le compte de gestion AWS Control Tower, pour CloudTrail

  • Active la journalisation des événements de données Amazon S3 et Lambda

  • Chiffre et exporte tous les événements de CloudTrail données vers un compartiment aws-aft-logs-* S3 du compte AWS Control Tower Log Archive, avec AWS KMS chiffrement

  • Active le paramètre de validation du fichier journal

Pour activer cette option, définissez l'indicateur de fonctionnalité suivant sur True dans la configuration d'entrée de votre déploiement AFT.

aft_feature_cloudtrail_data_events

Prérequis

Avant d'activer cette option de fonctionnalité, assurez-vous que l'accès sécurisé AWS CloudTrail est activé dans votre organisation.

Pour vérifier l'état de l'accès sécurisé pour CloudTrail  :

  1. Accédez à la AWS Organizations console.

  2. Choisissez Services > CloudTrail.

  3. Sélectionnez ensuite Activer l'accès sécurisé en haut à droite, si nécessaire.

Vous pouvez recevoir un message d'avertissement vous conseillant d'utiliser la AWS CloudTrail console, mais dans ce cas, ignorez cet avertissement. AFT crée le parcours dans le cadre de l'activation de cette option de fonctionnalité, une fois que vous avez autorisé un accès sécurisé. Si l'accès sécurisé n'est pas activé, vous recevrez un message d'erreur lorsque l'AFT tentera de créer votre trace pour les événements liés aux données.

Note

Ce paramètre fonctionne au niveau de l'organisation. L'activation de ce paramètre affecte tous les comptes AWS Organizations, qu'ils soient gérés par AFT ou non. Tous les compartiments du compte AWS Control Tower Log Archive au moment de l'activation sont exclus des événements de données Amazon S3. Reportez-vous au guide de AWS CloudTrail l'utilisateur pour en savoir plus sur CloudTrail.

AWS Plan de support aux entreprises

Lorsque cette option est activée, le pipeline AFT active le plan AWS Enterprise Support pour les comptes provisionnés par AFT.

AWS les comptes sont fournis par défaut avec le plan Support AWS de base activé. AFT fournit une inscription automatique au niveau de support d'entreprise, pour les comptes approvisionnés par AFT. Le processus de provisionnement ouvre un ticket d'assistance pour le compte, demandant son ajout au plan de support aux AWS entreprises.

Pour activer l'option Enterprise Support, définissez l'indicateur de fonctionnalité suivant sur True dans la configuration d'entrée de votre déploiement AFT.

aft_feature_enterprise_support=false

Reportez-vous à la section Comparer les plans de AWS support pour en savoir plus sur les plans de AWS support.

Note

Pour permettre à cette fonctionnalité de fonctionner, vous devez inscrire le compte payeur au plan Enterprise Support.

Supprimer le AWS VPC par défaut

Lorsque vous activez cette option, AFT supprime tous les VPC AWS par défaut du compte de gestion Régions AWS, même si aucune ressource AWS Control Tower n'y est déployée. Régions AWS

AFT ne supprime pas automatiquement les VPC AWS par défaut pour les comptes AWS Control Tower approvisionnés par AFT ou pour les AWS comptes existants que vous inscrivez dans AWS Control Tower via AFT.

Les nouveaux AWS comptes sont créés avec un VPC configuré par défaut dans chacun Région AWSd'eux. Votre entreprise applique peut-être des pratiques standard pour créer des VPC, qui vous obligent à supprimer le VPC AWS par défaut et à éviter de l'activer, en particulier pour le compte de gestion AFT.

Pour activer cette option, définissez l'indicateur de fonctionnalité suivant sur True dans la configuration d'entrée de votre déploiement AFT.

aft_feature_delete_default_vpcs_enabled

Reportez-vous à la section VPC par défaut et sous-réseaux par défaut pour en savoir plus sur les VPC par défaut.